Skip to main content

Інструкція користувача

Маршрутизація мереж через VPN

Під час використання різних VPN-з'єднань (L2TP/IPsec, PPTP, SSTP), найпоширенішим завданням є надання клієнтам віддаленого доступу до локальної мережі VPN-сервера. У цьому випадку, коли клієнт підключається до VPN-сервера, трафік автоматично маршрутизується до локальної мережі. Але іноді завдання полягає в тому, щоб організувати доступ не тільки до локальної мережі VPN-сервера, але й у зворотному напрямку, тобто з мережі VPN-сервера до віддаленої мережі VPN-клієнта, щоб забезпечити обмін даними між двома сторонами VPN-тунелю.

vpn-routing-01-en.png

Припустимо, що маршрутизатор Keenetic№1 підключений до Інтернету через інтернет-провайдера, який надає публічну IP-адресу. На цьому маршрутизаторі увімкнено VPN-сервер (L2TP/IPsec, PPTP, SSTP).

Маршрутизатор Keenetic№2 має доступ до Інтернету через інтернет-провайдера, який надає приватну IP-адресу.

Важливо

Keenetic, на якому запущено L2TP/IPsec або PPTP VPN-сервер, має бути підключений до Інтернету з публічною IP-адресою, а при використанні доменного імені KeenDNS він має бути налаштований у режимі «Прямий доступ». Якщо будь-яка з цих умов не виконується, підключення до такого сервера з Інтернету буде неможливим.

Що стосується тунелю SSTP, то його головною перевагою є здатність працювати через хмару, тобто він дозволяє встановити з'єднання між клієнтом і сервером, навіть якщо з обох сторін тунелю є приватні IP-адреси.

Маршрутизатор Keenetic№2 автоматично встановлює з'єднання з VPN-сервером (Keenetic№1), що дозволяє користувачам його локальної мережі (Користувач №2) отримувати доступ як до Keenetic№1 (для підключення до USB-накопичувачів і принтерів), так і до локальних ресурсів — комп’ютерів, NAS-серверів тощо.

Після впровадження наступного налаштування такий самий доступ стане можливим і в зворотному напрямку, тобто до локальної мережі Keenetic№2 з локальної мережі Keenetic№1. Наприклад, Користувач №1 може отримати доступ до файлів, розташованих у спільній папці Користувача №2.

Налаштування Keenetic№1

Щоб клієнти локальної мережі VPN-сервера мали доступ до ресурсів локальної мережі за VPN-клієнтом, необхідно додати статичний маршрут, що вказує на розташування мережі клієнта. У нашому прикладі локальна мережа 192.168.2.0/255.255.255.0 буде доступна через IP-адресу, надану VPN-сервером підключеному клієнту (у нашому випадку це буде клієнт з IP-адресою 172.16.1.2).

На сторінці Маршрутизація натисніть Створити маршрут. У вікні Параметри статичного маршруту, що з’явиться, виберіть Маршрут до мережі в полі Тип маршруту. У полі Адреса мережі призначення вкажіть віддалену підмережу, до якої ви хочете організувати доступ і яка знаходиться на стороні VPN-клієнта.

У полі IP-адреса шлюзу введіть IP-адресу VPN-клієнта, надану VPN-сервером під час підключення. У налаштуваннях VPN-сервера вимкніть опцію Багаторазовий вхід і визначте постійну IP-адресу для VPN-клієнта. Це можна зробити на сторінці налаштувань VPN-сервера в розділі Користувачі.

При налаштуванні статичного маршруту слід увімкнути опцію Додавати автоматично і залишити Будь-який у полі Інтерфейс.

vpn-routing-02-en.png

Важливо

Після додавання маршруту він не запрацює відразу. Вам потрібно буде повторно підключити VPN-тунель. Від’єднайте VPN-з’єднання, а потім знову активуйте його.

Налаштування Keenetic№2

На маршрутизаторі на стороні VPN-клієнта зверніть увагу на наступні налаштування:

  1. Під час налаштування VPN-з’єднання не потрібно вмикати опцію NAT для клієнтів. Це налаштування використовується для доступу клієнтів VPN-сервера до Інтернету. При підключенні до VPN-сервера клієнт автоматично отримуватиме інформацію про локальну мережу, що знаходиться за сервером. Це усуває необхідність налаштування статичної маршрутизації.

  2. Оскільки брандмауер за замовчуванням на інтерфейсі VPN-клієнта Keenetic№2 блокує всі вхідні з’єднання з локальною мережею (у нашому прикладі мережа 192.168.2.X), необхідно відкрити потрібні для роботи порти/протоколи.

    На сторінці Міжмережевий екран виберіть зі списку інтерфейс, на якому буде відстежуватися вхідний трафік (це VPN-з’єднання), і натисніть Додати правило, щоб створити правила доступу для будь-яких протоколів (як правило, достатньо буде відкрити доступ за протоколами TCP/UDP/ICMP).

    vpn-routing-03-en.png

Примітка

  1. Якщо ви встановили VPN-з’єднання, бачите (можете пінгувати) віддалений маршрутизатор, але не отримуєте жодних відповідей на ping від комп’ютерів у віддаленій мережі, найімовірніше, Брандмауер Windows блокує трафік на комп’ютерах. Коли ви пінгуєте якусь IP-адресу, переконайтеся, що ваш комп’ютер не блокує вхідні з’єднання (за замовчуванням, Брандмауер Windows блокує ICMP-запити). Спробуйте повторити ping, вимкнувши блокування.

  2. При використанні захищених VPN-тунелів можливі обмеження швидкості обміну даними. Додаткове навантаження на пристрій, пов’язане з маршрутизацією, обробкою та шифруванням даних у VPN, може знизити швидкість передачі даних порівняно з пропускною здатністю каналу. Наприклад, SSTP VPN-сервер працює через Keenetic хмарні сервери; його швидкість залежить від кількості клієнтів, які використовують хмару, та їх активності.

  3. Автоматичне розпізнавання імен комп’ютерів і пристроїв у мережі Microsoft Windows через VPN-тунель не підтримується, оскільки мережі об’єднуються на рівні 3 моделі OSI, використовуючи NAT (трансляцію мережевих адрес) і маршрутизацію. Обмеження, накладені цими факторами, перешкоджають роботі служби оглядача комп'ютерів, яка використовує немаршрутизовані типи передачі даних, розроблені для однорангових мереж. Тому доступ до віддалених мережевих пристроїв за їхніми мережевими іменами не працюватиме.

  4. Ви можете об’єднати кілька домашніх мереж для доступу з кожної мережі до будь-якої іншої. До VPN-сервера на одному маршрутизаторі можна встановити понад 10 одночасних клієнтських підключень. Максимальна кількість PPTP VPN-тунелів:

    • до 200 для Keenetic Titan (KN-1811)

    Для L2TP/IPsec VPN-тунелів обмежень немає.

  5. SIP-телефонія, як і інші технології передачі даних, може працювати через встановлений VPN-тунель.

У цьому розділі: